Автор критической уязвимости в OpenSSL объяснил её появление невнимательностью

В интервью австралийской газете программист рассказал о подробностях попадания бага в код криптографического пакета. Ошибка, поставившая под угрозу безопасность двух третей интернет-сайтов,  попала в код в конце декабря 2011 года. 

robin-seggelman-explains-5347a27c7ef05.j

По словам Зеггельмана, в то время он работал над улучшением открытого кода OpenSSL, готовя к отправке на утверждение несколько исправлений для уже существовавших багов. 

В одной из написанных мною функций я, к сожалению, забыл прописать проверку длины запроса. Человек, проверявший мою работу, не заметил ошибки, и вскоре она из рабочей версии пакета попала в окончательный релиз. Робин Зеггельман, программист

Допущенную им ошибку Зеггельман назвал «довольно банальной».

Злого умысла с моей стороны не было совершенно. Это была простая ошибка в новой функции пакета. К несчастью, она была допущена в очень важном для безопасности данных месте. Робин Зеггельман, программист

О существовании в коде пакета OpenSSL критической уязвимости стало известно 7 апреля. Баг, который получил название Heartbleed, позволял проникать в зашифрованное соединение между компьютером и сервером и похищать персональные данные из оперативной памяти сервера. 

В общей сложности ошибка просуществовала в коде около двух лет. Из-за того, что соединения на основе OpenSSL используются 65 процентами сайтов в сети, потенциальными жертвами бага за это время могли стать миллионы пользователей. В настоящее время баг уже исправлен. Крупнейшие интернет-ресурсы и сервисы рекомендовали своим пользователям сменить установленные ими ранее пароли.

31-летний программист Робин Зеггельман проживает в небольшом немецком городке Эльде на северо-западе ФРГ. Он является членом некоммерческой организации Internet Engineering Task Force (IETF), а также работает в Мюнстерском университете прикладных наук. В вузе Зеггельман числится в штате так называемой лаборатории сетевого программирования. В 2012 году за авторством Зеггельмана вышла научная работа, посвященная безопасным коммуникациям в интернете. 

©  TJournal